Radware Cloud Web App Firewall Flaw Allows Attackers to Bypass Security Filters
2025/05/08 gbhackers — Radware の Cloud Web Application Firewall (WAF) に存在する2件の深刻な脆弱性が、CERT/CC のセキュリティ研究者たちにより発見された。この脆弱性 CVE-2024-56523/CVE-2024-56524 を悪用する攻撃者は、セキュリティ・フィルターをバイパスし、保護されている Web アプリへ向けた悪意のペイロードの配信を可能にする。これらの脆弱性が浮き彫りにするのは、非標準の HTTP リクエストや特殊文字を含むユーザー入力データを、WAF が処理する方法の根本的な弱点である。これらの脆弱性は 2025年5月7日に公表され、最近のアップデートで修正が示唆されているが、現時点でも Radware は公式に認めていない。
1つ目の脆弱性 CVE-2024-56523 は、リクエスト本文に余分なデータを含む HTTP GET リクエストを、WAF 適切に検証できないという点に起因する。
HTTP/1.1 仕様では、GET リクエストに本文を取り込むことが可能であるが、ほとんどの Web サーバで無視されてしまう。したがって、WAF とバックエンド・システムとの間で、入力処理の不一致が生じる。
攻撃者は、任意のパラメーターやエンコードされたペイロードといったランダムなデータを、GET リクエストの本文に追加することが可能となる。この “ノイズ” により、WAF の解析ロジックが混乱し、悪意のコンテンツが検出されることなく通過していく。
たとえば、Base64 エンコードされたジャンク・データでパディングされ、GET 本文内に埋め込まれた SQL インジェクション・ペイロードは、シグネチャ・ベースの検出ルールを回避する可能性を得る。
Radware のデフォルト・コンフィグでテストされたセキュリティ・ポリシーの 70%以上が、この手法により回避されてしまう。
このエクスプロイトにおいて、特別なツールは不要である。そのことは、以下の PoC の curl コマンドで確認できる:
bashcurl -X GET "https://target.com/search?q=test" -d "junk=data&malicious=payload"
この挙動が浮き彫りにするのは、数多くのセキュリティ・アプライアンスで見られる、プロトコルには準拠しているが論理的に一貫性を欠くという、トラフィック処理のリスクである。
特殊文字の処理に関する脆弱性
2つ目の脆弱性 CVE-2024-56524 は、非アルファベット/非数値文字を取り込んだリクエストを処理する際の、不適切な入力サニタイズに起因する。
研究者たちが発見したのは、パラメーター値に “~” および “^” や、Unicode 制御文字を追加することで、WAF のトークン化プロセスを妨害できることだ。
XSS ペイロードに関するケース・スタディでは、URL エンコードされたキャリッジリターンとラインフィード “%0d%0a” を、<script> タグの前に挿入することで、WAF が入力境界を誤認識し、スクリプトの実行を許可することが明らかになった。
この脆弱性は、HTTP ヘッダー/クッキー/POST フォームデータなどの、あらゆる入力ベクターに影響を及ぼす。したがって攻撃者は、大文字/小文字の変換や難読化されたエンコーディングといった他の回避手法と、これらの特殊文字を組み合わせることで、ペイロードの配信成功率を最大化できる。
特筆すべきは、現代の WAF では、異常検出に機械学習モデルを用いているはずなのだが、これらの脆弱性が依然として存在している点である。Radware システムのルール・エンジンは、包括的な構文解析よりも処理速度を優先しているため、エッジ・ケースにおいて解析上の盲点が生じていると見られる。
エコシステムへの影響と緩和策
これらの脆弱性による複合的なリスクは、個々の組織に留まらず、より広範なクラウド・セキュリティ・エコシステム全体へと波及する可能性がある。Radware の WAF は、金融/医療などの重要インフラ分野を含め、全世界で 15,000 件以上のエンタープライズ・アプリケーションを保護対象としている。
そのため、このセキュリティ・フィルターのバイパスが成功する場合には、大規模なデータ漏洩/ランサムウェアの展開/API の完全性の侵害などの、重大な影響が発生する恐れがある。
最近のファームウェア・アップデート (v3.2.1 以降) でのパッチ適用を、研究者たちは確認しているが、それを Radware は正式には認めず、アドバイザリも公開していない。この沈黙により、緩和策の導入が困難となっており、顧客はサードパーティからの情報開示に依存せざるを得ない状況に置かれている。
セキュリティ・チームに対して強く推奨されるのは、以下のような対応を講じることである:
- 本文を含む異常な GET リクエストの監視
- アプリケーション・レベルでの二次的な入力検証レイヤーの実装
- “~” および “^” や、Unicode 制御文字を含むパラメーター値の監査ログによる記録と精査
この脆弱性を発見した研究者の Oriol Gegundez は、「WAF は単一のシールドとして扱うべきではない。その有効性は、継続的なチューニングと敵対的テストに依存する」と強調している。
クラウド・ネイティブ・アーキテクチャの普及が進む中で、これらの発見が浮き彫りにするのは、自動化された保護と人間の専門知識を組み合わせる、多層防御戦略の緊急性である。
それまで、組織に対して求められるのは、WAF に盲点があることを前提とし、それに応じた防御策を設計することである。
WAF の根本的な弱さを指摘する、記事という感じがします。文中の、「WAF の有効性は、継続的なチューニングと敵対的テストに依存する」という一言が、すべてを表していますね。それにしても、Radware の対応は不可解ですね。サイレント・パッチを提供して、説明は避けるという方針なのかもしれません。よろしければ、WAF で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.